blog

Microsoft 365 tietoturva muuttuu silloinkin, kun et muuta mitään

jari-pekka@vahti.ai (Jari-Pekka Hyyppä) — Mon, 13 Apr 2026 06:42:49 GMT

Saatat ajatella, että Microsoft 365 ‑ympäristö pysyy ennallaan, jos siihen ei kosketa. Kun kirjautumiset toimivat, käyttäjät tekevät töitään normaalisti eikä hälytyksiä näy, kaikki lienee kunnossa.

Microsoft 365 ‑ympäristö elää kuitenkin ajan myötä tavoilla, joita et huomaa arjessa lainkaan. Juuri nämä huomaamattomat muutokset ovat yksi suurimmista syistä siihen, miksi ympäristön todellinen tila etääntyy ajan myötä siitä, mitä alun perin ajateltiin turvalliseksi.

Microsoft 365 päivittyy ja kehittyy jatkuvasti

Ensimmäinen ja usein aliarvioitu muutosvoima on Microsoft itse.

Microsoft 365 on jatkuvasti kehittyvä palvelu. Microsoft julkaisee uusia ominaisuuksia, päivittää olemassa olevia ominaisuuksia ja kehittää palveluiden toimintaa taustalla. Muutokset voivat koskea esimerkiksi sitä, miten tietty asetus toimii, millaisia suojausvaihtoehtoja on tarjolla tai mitä asioita ympäristöstä ylipäätään raportoidaan näkyvästi.

Yksittäinen muutos ei yleensä vaadi toimenpiteitä eikä aiheuta ongelmia. Mutta ajan myötä nämä yksittäiset muutokset kumuloituvat ja vaikuttavat siihen, miten ympäristö käyttäytyy verrattuna hetkeen, jolloin se alun perin määriteltiin turvalliseksi.

Käyttäjät ja käyttötavat muuttuvat, vaikka politiikat eivät muutu

Toinen merkittävä muutos tapahtuu yrityksen omassa toiminnassa – usein täysin huomaamatta.

Vaikka tietoturvakäytännöt pysyisivät paperilla samoina, arki niiden ympärillä muuttuu jatkuvasti. Ihmiset vaihtavat rooleja, työskentelytavat elävät ja arjen sujuvuus asettaa paineita tehdä muutoksia toimintatapoihin. Käyttöoikeuksia lisätään “väliaikaisesti”, uusia työkaluja otetaan käyttöön ja pääsyoikeuksia laajennetaan tarpeen mukaan.

Nämä muutokset ovat liiketoiminnan kannalta normaaleja ja usein välttämättömiä. Haaste syntyy vasta silloin, kun kukaan ei seuraa muutosten kokonaisvaikutusta tietoturvaan.

Ilman kokonaiskuvaa on helppo luulla, ettei mikään ole muuttunut, vaikka todellisuudessa ympäristö elää koko ajan.

Mikä oli ennen poikkeus, on nyt normaalia

Kolmas muutos liittyy siihen, mitä pidetään normaalina toimintana.

Microsoft 365 ‑ympäristössä tapahtuu jatkuvasti kirjautumisia, tiedostojen jakoa, sovellusten käyttöä ja automaattisia toimintoja. Ajan myötä käyttäytymismallit muuttuvat.

Konkreettisesti tämä tarkoittaa, että esimerkiksi ennen harvinaiset etäkirjautumiset, tiedostojen jakaminen ulkopuolisille tai uuden sovelluksen käyttöönotto saatettiin aikaisemmin tulkita poikkeamiksi. Ne herättivät huomiota ja tarkasteltiin erikseen. Nykyään nämä asiat tapahtuvat arjessa niin usein ja sujuvasti, että niitä tuskin huomataan.

Tämä tarkoittaa, että ympäristön “normaali tila” ei ole vakio. Se elää yhdessä käyttäjien kanssa. Riskit eivät välttämättä näytä äkillisiltä poikkeamilta, vaan sulautuvat vähitellen osaksi arkista toimintaa.

Ilman jatkuvaa tilannekuvaa on vaikea hahmottaa, missä vaiheessa normaali alkaa lipsua riskialueelle.

Näennäinen vakaus voi olla harhaanjohtavaa

Yksi Microsoft 365 ‑ympäristöön liittyvistä harhaluuloista on se, että rauhallinen arki tarkoittaisi vakaata tilannetta. Kun hälytyksiä ei näy ja palvelu toimii, kaikki vaikuttaa olevan hallinnassa.

Todellisuudessa monet muutokset tapahtuvat niin hitaasti ja huomaamattomasti, ettei niihin kiinnitetä huomiota. Ympäristö ei “rikkoudu” yhtäkkiä. Se ajautuu vähitellen tilaan, jossa kukaan ei ole enää täysin varma, onko se yhä siinä kunnossa kuin luullaan.

Tässä vaiheessa raportti tai yksittäinen tarkistus antaa usein vain osittaisen kuvan – se kertoo siitä ohikiitävästä hetkestä, ei todellisesta kehityssuunnasta.

Viimeksi tehty tarkistus kertoo menneestä

Jos Microsoft 365 ‑ympäristöä tarkastellaan vain satunnaisesti, tarkistushetki muuttuu nopeasti historiaksi. Sen jälkeen ympäristö jatkaa elämäänsä: muutoksia kertyy, käyttö muuttuu ja palvelut kehittyvät.

Ilman jatkuvaa seurantaa yritys ei tosiasiassa tiedä, milloin ympäristö on muuttunut olennaisesti. Usein tämä havaitaan vasta silloin, kun jokin ei enää toimi odotetulla tavalla tai kun riski konkretisoituu.

Hyökkäysten huomaaminen viivästyy usein

Usein käy niin, että jopa vakavat kyberhyökkäykset jäävät huomaamatta pitkiksi ajoiksi. Valtaosassa tapauksista hyökkääjä voi toimia järjestelmissä useita viikkoja tai jopa kuukausia ennen kuin hänen toimintansa havaitaan.

Esimerkiksi IBM:n vuoden 2025 Data Breach Reportin mukaan hyökkäyksen havaitsemiseen kuluu keskimäärin 204 päivää, ja lisäksi korjaustoimiin kuluu vielä 73 päivää. Tämä osoittaa, että pelkkä hetken tarkistus ei riitä, vaan jatkuva seuranta on välttämätöntä. Lähde: IBM Cost of a Data Breach Report 2025.

Lopuksi

Microsoft 365 ‑ympäristö muuttuu silloinkin, kun et tee mitään. Se ei ole huono asia, vaan juuri päinvastoin. M365 kehittyy jatkuvasti tietoturvallisemmaksi ja tehokkaammaksi arjen tehostajaksi. Ongelmia syntyy vasta silloin, kun nämä muutokset jätetään huomiotta tai niistä ei olla tietoisia.

Kun ympäristön muutosnopeus ymmärretään, myös koko tietoturvan ajattelutapa muuttuu. Kyse ei ole siitä, oliko kaikki kunnossa joskus, vaan siitä, mitä ympäristössä tapahtuu juuri nyt ja mihin suuntaan se on kehittymässä.

Pelkkä monivaiheinen tunnistatuminen (MFA) ei pidä yritystäsi turvassa

jari-pekka@vahti.ai (Jari-Pekka Hyyppä) — Wed, 25 Mar 2026 12:24:31 GMT

Monessa organisaatiossa ajatellaan edelleen näin:
“Meillä on monivaiheinen tunnistautuminen käytössä, joten käyttäjätilit ovat turvassa.”

Ajatus on ymmärrettävä, sillä MFA on ollut ja on edelleen yksi tehokkaimmista yksittäisistä keinoista suojata käyttäjätilejä. Uhkakenttä on kuitenkin muuttunut ja yrityksiltä vaaditaan aiempaa parempaa ymmärrystä tietoturvasta.

Tosiasia on, että tänä päivänä pelkkä MFA ei enää takaa sitä turvaa, jota siltä usein odotetaan.

Hyökkäykset eivät kohdistu ainoastaan salasanoihin – vaan myös ihmisiin

Aiemmin hyökkääjän tavoite oli yksinkertaisesti murtaa tai varastaa salasana.
Nyt tavoite on toinen.

Nykyhyökkäyksissä ei välttämättä yritetä kiertää MFA:ta teknisesti, vaan hyödynnetään käyttäjää itseään. Hyökkääjä haluaa, että käyttäjä kirjautuu sisään aivan normaalisti – mutta hyökkääjän puolesta.

Yksi yleinen esimerkki tästä on niin sanottu Adversary-in-the-Middle -hyökkäys. Käyttäjä ohjataan aidolta näyttävälle kirjautumissivulle, hän syöttää tunnuksensa ja hyväksyy MFA-pyynnön kuten aina ennenkin. Useimmiten käyttäjästä kaikki vaikuttaa aivan normaalilt, mutta kirjautumissessio päätyy hyökkääjän haltuun.

Monivaiheinen tunnistautuminen toimi teknisesti täsmälleen kuten sen on tarkoitus, mutta se ei estänyt hyökkäystä.

MFA-väsymys on todellinen ilmiö

Toinen yleistynyt ilmiö on niin sanottu MFA-pommitus. Hyökkääjä laukaisee kirjautumisyrityksiä toistuvasti, jolloin käyttäjän puhelimeen alkaa tulla jatkuvia hyväksyntäpyyntöjä.

Lopulta käyttäjä joko:

hyväksyy pyynnön vahingossa
tai hyväksyy sen saadakseen ilmoitukset loppumaan

Sinusta lukijana voi tuntua, että ei kai kukaan oikeasti lankea noin ilmiselvään huijausyritykseen. Tosiasiassa tällainen virhe voi tapahtua käyttäjälle esimerkiksi kiireessä, väsyneenä tai ihan vain vahingoissa.

Olet ehkä itsekin joskus esimerkiksi kesken palaverin vain ”kuitannut jonkin ilmoituksen” puhelimesta häiritsemästä. Valitettavasti vähemmän valveutuneelle käyttäjälle MFA-ilmoitus voi olla vain häiriötekijä muiden joukossa.

Tässäkään tapauksessa MFA ei ole “rikki”. Ongelma on siinä, että järjestelmä ei ymmärrä kontekstia, eikä käyttäjä aina pysähdy miettimään, miksi pyyntö tuli juuri nyt.

Todellinen ongelma ei ole MFA. Ongelma on se, mitä sen ympäriltä puuttuu

Kun sanotaan, että “pelkkä MFA ei riitä”, se tulkitaan joskus väärin. Kyse ei ole siitä, että MFA olisi turha tai vanhentunut.

Päinvastoin, MFA on edelleen varsin toimiva käyttäjien kirjautumisten suojaamisen kivijalka – vaikka sen rinnalla ovat yleistyneet muutkin menetelmät, kuten passkeyt.

Ongelma syntyy silloin, jos:

kirjautumisia ei seurata jatkuvasti
poikkeavaa käyttäytymistä ei havaita
riskeihin ei reagoida nopeasti
ympäristöä tarkastellaan yksittäisten asetusten, ei kokonaisuuden kautta

Modernit identiteettihyökkäykset eivät pysähdy yhteen suojauskerrokseen. Siksi puolustuksenkaan ei pitäisi perustua vain yhteen ominaisuuteen.

Mitä MFA:n lisäksi oikeasti tarvitaan?

Jos tavoitteena on oikeasti suojattu Microsoft 365 -ympäristö, MFA on vasta lähtökohta. Sen ympärille tarvitaan kokonaisuus, joka elää ja reagoi.

Käytännössä tämä tarkoittaa esimerkiksi:

Jatkuvaa seurantaa
Epäilyttävät kirjautumiset, poikkeavat muutokset ja riskisignaalit havaitaan silloin, kun niihin voidaan vielä reagoida.

Kontekstin ymmärtämistä
Kaikki poikkeamat eivät ole uhkia. Olennaista on erottaa normaali toiminta aidosta riskistä.

Selkeitä toimintamalleja
Kun jotain tapahtuu, pitää olla selvää, mitä tehdään seuraavaksi – ilman että jokaisen täytyy olla tietoturva-asiantuntija.

Kokonaiskuvaa
Yksittäinen hälytys ei kerro vielä paljoa. Vasta useiden signaalien yhdistäminen paljastaa, mitä ympäristössä oikeasti tapahtuu.

Miksi jatkuva identiteettien seuranta korostuu juuri Microsoft 365 -ympäristössä?

Microsoft 365 on monelle organisaatiolle liiketoiminnan kriittisin alusta: sähköposti, tiedostot, Teams-keskustelut ja hallintaoikeudet kulkevat saman identiteetin kautta.

Tämä tekee käyttäjätileistä houkuttelevan kohteen hyökkääjille, mutta samalla se tarjoaa myös mahdollisuuden parempaan suojaan, jos ympäristöä seurataan aktiivisesti. Kun kirjautumistietoja, poikkeavia signaaleja ja käyttäjäkäyttäytymistä tarkastellaan kokonaisuutena, uhkat voidaan tunnistaa ennen kuin ne ehtivät aiheuttaa vahinkoa.

Juuri tässä jatkuva seuranta ja kontekstin ymmärtäminen nousevat keskiöön: ne muuttavat yksittäiset tapahtumat hallituksi kokonaisuudeksi ja tukevat sekä tietoturvaa että liiketoiminnan jatkuvuutta.

Miksi MFA‑hyökkäykset havaitaan usein liian myöhään?

Monessa organisaatiossa identiteetteihin liittyvät poikkeamat huomataan vasta jälkikäteen – jos silloinkaan.

Yksi syy tähän on se, että kirjautumisia tarkastellaan usein yksittäisinä tapahtumina, ei osana laajempaa käyttäytymiskuvaa. Yksittäinen onnistunut kirjautuminen ei välttämättä herätä huomiota, vaikka sitä olisi edeltänyt epätavallinen sijainti, uusi laite tai poikkeava ajankohta.

Kun MFA on käytössä, oletetaan helposti, että kaikki hyväksytyt kirjautumiset ovat myös oikeita. Tämä ajattelutapa jättää hyökkääjälle tilaa toimia rauhassa.

Ilman jatkuvaa seurantaa hyökkäys voi jatkua päiviä tai viikkoja ennen kuin ensimmäiset selkeät merkit näkyvät. Juuri siksi identiteettiturvassa ratkaisevaa ei ole vain se, estetäänkö kirjautuminen, vaan se, ymmärretäänkö millainen kirjautuminen on kyseessä ja reagoidaanko ajoissa, kun jokin ei enää näytä normaalilta.

Yhteenveto

MFA on edelleen tärkeä ja välttämätön osa identiteettiturvaa, mutta yksinään se voi antaa väärän turvallisuuden tunteen.

Todellinen suoja syntyy vasta silloin, kun tunnistautumista, käyttäjiä ja koko ympäristöä seurataan jatkuvasti ja kun havaittuihin riskeihin osataan myös reagoida ajoissa.

M365-ympäristön tietoturva ei ole yksittäinen asetus tai ominaisuus. Se on jatkuva prosessi.

Miksi Microsoft 365 -tietoturva vaatii jatkuvaa seurantaa

jari-pekka@vahti.ai (Jari-Pekka Hyyppä) — Wed, 25 Mar 2026 09:58:41 GMT

Monessa yrityksessä Microsoft 365 tietoturva nähdään projektina.

Tehdään kartoitus, laitetaan asetukset kuntoon ja otetaan MFA käyttöön. Sitten ajatellaan, että asia on hoidettu ja jatketaan elämää vailla tietoturvahuolia ja -murheita.

Tämä on kyllä hyvä alku, mutta todellisuudessa tietoturva ei ole kertaluontoinen projekti. Tietoturvaympäristö, jossa elämme, muuttuu jatkuvasti ja siksi Microsoft 365 ympäristön jatkuva seuranta on täysin välttämätöntä.

Usein tieto riskeistä on jo valmiiksi Microsoft 365 -ympäristössä, mutta sitä ei hyödynnetä systemaattisesti.

Tietoturvampäristö muuttuu koko ajan vaikka et ehkä huomaa sitä

Tietoturvaolosuhteet, kuten myöskään Microsoft 365 -ympäristösi ei ole koskaan staattinen.

Yrityksesi Microsoft 365-ympäristössä tapahtuu muutoksia jatkuvasti:

käyttäjiä tulee ja lähtee
käyttöoikeuksia lisätään ja poistetaan
sovelluksia integroidaan
asetuksia muokataan
Microsoft tekee päivityksiä

Lisäksi tietoturvaympäristössä, jossa elämme, tapahtuu muutoksia:

hyökkäyksiä tulee aaltomaisesti - välillä enemmän, toisinaan vähemmän
hyökkäysmetodit kehittyvät
käyttämiesi sovellusten turvallisuustaso voi muuttua
tekoäly tekee hyökkäyksistä entistä tehokkaampia

Tietoturvan jatkuva seuranta on tämän päivän maailmassa täysin välttämätöntä. Tänään asianmukaisesti konfiguroitu ympäristö ei pysy turvallisena ikuisesti - varsinkaan, jos riskisignaaleja ei monitoroida jatkuvasti.

Ilman seurantaa riskit syntyvät huomaamatta

Microsoft 365 -ympäristön muutokset jäävät helposti piiloon

Suurin osa tietoturvariskeistä ei synny yhdestä suuresta virheestä, vaan pienistä, arjessa tapahtuvista muutoksista. Uudelle käyttäjälle annetaan hieman liian laajat oikeudet, vanha käyttöoikeus jää poistamatta tai uusi sovellus saa pääsyn tietoihin ilman, että kokonaisuutta pysähdytään arvioimaan.

Yksittäisinä nämä eivät välttämättä näytä merkittäviltä. Ongelma syntyy siitä, että kukaan ei näe kokonaiskuvaa. Muutokset kasaantuvat hiljalleen, ja samalla ympäristön riskitaso nousee ilman, että sitä huomataan.

Monessa yrityksessä luotetaan siihen, että “asetukset on kerran laitettu kuntoon”. Todellisuudessa tietoturvan taso elää jatkuvasti ympäristön mukana, eikä ilman seurantaa ole mitään varmuutta siitä, miltä tilanne näyttää tänään.

Myös tapahtumat kertovat riskistä – jos niitä seurataan

Kaikki riskit eivät kuitenkaan liity pelkästään asetuksiin. Osa niistä näkyy tapahtumina: epäilyttävinä kirjautumisina, poikkeavana käyttäytymisenä tai muutoksina, jotka voivat viitata käynnissä olevaan hyökkäykseen.

Näitä signaaleja syntyy jatkuvasti, mutta ilman aktiivista seurantaa ne jäävät helposti huomaamatta tai hautautuvat muun datan joukkoon. Usein tieto on olemassa, mutta kukaan ei katso sitä oikeaan aikaan – tai ymmärrä, mikä on olennaista.

Todellisen haasteen aiheuttaa myös se, että dataa tapahtumista muodostuu paljon ja se on varsin sirpaleista. Sen tulkinta ja hyödyntäminen ilman kunnollisia työkaluja on hyvin hankalaa tai vähintään työlästä.

Jatkuva seuranta tekee Microsoft 365 tietoturvasta hallittavaa ja ennakoitavaa

Kun tietoturvaa seurataan jatkuvasti, siirrytään reaktiivisesta tietoturvasta ennakoitavaan tietoturvaan.

Kyse ei ole enää yksittäisistä tarkistuksista tai raporteista, vaan jatkuvasta ymmärryksestä siitä, missä mennään juuri nyt ja mihin suuntaan ympäristö on kehittymässä.

Vahti tuo tähän selkeän rakenteen. Se seuraa Microsoft 365 -ympäristösi tilaa ja tapahtumia jatkuvasti, tunnistaa olennaiset riskit ja nostaa esiin ne asiat, joihin kannattaa oikeasti reagoida. Sen sijaan, että tietoturva olisi hajallaan eri näkymissä ja lokitiedoissa, saat yhden kokonaiskuvan tietoturvan tilasta.

Käytännössä tämä tarkoittaa sitä, että näet:

missä ympäristössäsi on tällä hetkellä riskejä
miten nämä riskit ovat syntyneet
mitä niille kannattaa tehdä seuraavaksi

Tärkeintä ei kuitenkaan ole pelkkä näkyvyys, vaan se, että asioille tapahtuu jotain. Vahti ei jää pelkäksi raportointityökaluksi, vaan ohjaa konkreettisiin toimenpiteisiin – selkeästi ja ymmärrettävästi, ilman syvää teknistä osaamista.